← Terug naar blog

Digitale soevereiniteit als doctrine.

AI Governance

Deel I: Strategisch imperatief en samenvatting

1. Van technische keuze naar strategische doctrine

De digitale transformatie van de Nederlandse overheid bevindt zich op een strategisch keerpunt. Een convergentie van exponentiële technologische vooruitgang (met name Generatieve AI), een ongekende golf van dwingende EU-regelgeving, en een verscherpt geopolitiek klimaat dwingt tot een fundamentele herijking van de digitale grondslag van de staat. Dit rapport presenteert een beslisrijpe, diepgaande blauwdruk voor een “Sovereign-by-Design” digitale infrastructuur, specifiek ontwikkeld als een strategische doctrine voor de Nederlandse publieke sector.

Kernbevindingen: Dit onderzoek concludeert dat digitale soevereiniteit geen optionele technische configuratie is, maar een noodzakelijke voorwaarde voor het handhaven van de rechtsstaat, het waarborgen van de continuïteit van publieke diensten en het beschermen van de grondrechten van burgers. De analyse legt een significante en onhoudbare kloof bloot tussen de huidige operationele realiteit zoals vernietigend vastgesteld door de Algemene Rekenkamer in het rapport ‘Donkere wolken pakken samen’, waaruit blijkt dat voor 67% van de cruciale clouddiensten geen formele risicoafweging is gemaakt 1 en de strategische beleidsdoelstellingen van de overheid, zoals verwoord in de Nederlandse Digitaliseringsstrategie en diverse Kamerbrieven.6 De “ondoordachte” adoptie van cloudtechnologie vormt een onaanvaardbaar strategisch risico.1

Vereiste beslissingen: Dit rapport legt concrete, strategische besluiten voor aan het bestuur. De kernaanbeveling is de formele adoptie van de hierin gedetailleerde ‘Sovereignty Placement Policy’ als een bindende doctrine voor databeheer. Daarnaast wordt het bestuur verzocht de ‘Sovereign Hybrid’ referentiearchitectuur aan te wijzen als de verplichte, geauditeerde standaard voor alle data en workloads geclassificeerd als Gevoelig (S-2) en Staatskritisch (S-3). Tot slot wordt een mandaat gevraagd voor de verplichte toepassing van de in dit rapport opgenomen bibliotheek van contractuele waarborgen in alle toekomstige ICT-inkoopprocessen, om juridische afdwingbaarheid te maximaliseren.

2. De soevereine doctrine, het oplossen van het digitale trilemma

De Nederlandse overheid staat voor een strategisch trilemma: zij moet tegelijkertijd (1) de innovatiekracht van de wereldwijde technologiemarkt benutten, (2) absolute en aantoonbare compliance garanderen met een complex en groeiend web van EU- en NL-wetgeving, en (3) zich verdedigen tegen geopolitieke risico’s, waaronder extraterritoriale wetgeving (zoals de Amerikaanse CLOUD Act en FISA 702 ), buitenlandse surveillance en strategische afhankelijkheden.

Een “Sovereign-by-Design” aanpak, verheven tot een doctrine, is de enige levensvatbare strategie om dit trilemma op te lossen. Dit vereist een paradigmaverschuiving: van een reactieve, op compliance gerichte houding naar een proactieve, architecturale benadering waarbij soevereiniteit het fundamentele ontwerpprincipe is. Dit markeert het definitieve einde van het “Cloud First”-beleid en de opkomst van “Sovereignty First”. Het Rijksbrede Cloudbeleid uit 2022 was een eerste stap 8, maar de kritiek van de Rekenkamer 1 en de geopolitieke realiteit 6 dwingen tot een radicalere koers. De beleidslijn kan niet langer technologie-gedreven zijn (“we gaan naar de cloud, tenzij…”). Deze moet waarde-gedreven zijn (“we beschermen publieke waarden, en kiezen de technologie die dit garandeert”). De classificatie van data dicteert het hostingmodel, niet andersom.

3. De economische rationale, meer dan risicobeperking

Het omarmen van een soevereine doctrine is niet alleen een defensieve maatregel; het is een strategische investering in de Nederlandse en Europese economie. De huidige dominantie van een klein aantal niet-Europese hyperscalers (die 70-80% van de Europese markt in handen hebben) creëert een strategische afhankelijkheid en zorgt voor een aanzienlijke uitstroom van kapitaal.22 Door bewust te kiezen voor soevereine oplossingen, gehost in overheidsdatacenters of bij gekwalificeerde Nederlandse/Europese aanbieders, wordt een vliegwiel in gang gezet:

Deze aanpak transformeert een compliance-verplichting in een economische kans, in lijn met de ambitie van de Nederlandse Digitaliseringsstrategie om de digitale onafhankelijkheid te vergroten.7

Deel II: Het regelgevend en beleidsmatig landschap

4. De convergentie van verplichtingen, een geïntegreerde analyse

De komende 36 maanden wordt de digitale omgeving van de overheid geconfronteerd met een ongekende convergentie van nieuwe, verstrekkende Europese regelgeving. Deze wetten vormen geen losstaande eilanden, maar een onderling verbonden ecosysteem dat gezamenlijk de spelregels voor de digitale economie en overheid in de EU herschrijft.

De AI Act, GDPR en Data Act

De kern van de nieuwe uitdaging ligt in de complexe wisselwerking tussen de AI Act, de GDPR en de Data Act. Waar de GDPR de persoonsgegevens beschermt , richt de AI Act zich op de risico’s van het AI-systeem zelf 36, en de Data Act op de toegang tot en het gebruik van de gegenereerde data.42 Voor de publieke sector, die vaak met allen te maken heeft, ontstaan hier synergieën en fricties:

Kernwetgeving

DORA, CRA, Data Act, DGA:

Tabel: Gedetailleerde Tijdlijn van Regelgevende Verplichtingen (2024-2030)

Jaar/KwartaalEU AI Act (Reg. 2024/1689)NIS2 (NL Implementatie)DORA (Reg. 2022/2554)CRA (Reg. 2024/2847)Data Act (Reg. 2023/2854)eIDAS 2.0 (Reg. 2024/1183)Nieuwe Archiefwet (NL)2025 Q1Verbod onaanvaardbare praktijken (2 feb) 37Toepassing start (17 jan)2025 Q3GPAI-regels van toepassing (2 aug) 37Toepassing start (12 sep)2026 Q2Verwachte inwerkingtreding Cbw 28Verwachte inwerkingtreding 12026 Q4Rapportageplicht vulnerabilities (11 sep) 62Deadline aanbieden EUDI Wallet2027 Q3Hoog-risico regels van toepassing (2 aug) 372027 Q4Volledige toepassing (11 dec) 622030 Q3Deadline compliance publieke sector hoog-risico (2 aug) 37

5. De Nederlandse context van beleid naar implementatie

Deel III: Tactische governance en operationele processen

6. De sovereignty placement policy, een aangescherpte classificatie

Om de doctrine van “Sovereignty-by-Design” operationeel te maken, wordt de keuze voor een on-premise, door de overheid beheerde omgeving de standaard voor alle data behalve openbare data.

7. Operationele governance, de Sovereignty Governance Board (SGB)

De implementatie wordt aangestuurd door een centrale Sovereignty Governance Board (SGB).

8. Het data classificatie playbook, van theorie naar praktijk

De classificatie van data is een continu proces, geen eenmalige actie.

Rollen en Verantwoordelijkheden:

Het Classificatieproces (Stappenplan):

Deel IV: Referentiearchitecturen en operationele implementatie

9. Architectuur 1: Het soevereine hybride model

Dit is de verplichte architectuur voor alle workloads die data van Tier S-1, S-2 en S-3 verwerken.

Operationele Risico’s: Confidential Computing (Tier S-2/S-3):

10. Het SaaS conundrum, een risicogebaseerde uitzonderingsprocedure

Het gebruik van niet-soevereine SaaS-diensten (bv. Microsoft 365) is een realiteit, maar vormt een direct conflict met de soevereine doctrine. Dit vereist een strikt, formeel uitzonderings- en risico acceptatie proces, beheerd door de SGB.1

11. Architectuur 3: Veilige landingszones voor artificiële intelligentie

Dit is een verplichte governance- en technische laag boven op Architectuur 1 voor alle AI-workloads.

Tactisch Niveau: AI Governance Framework (conform AI Act):

Operationeel Niveau: Technische Control Set:

Deel V: Menselijk kapitaal en economische analyse

12. De human capital doctrine, bouwen aan digitaal vakmanschap

Technologie en beleid zijn nutteloos zonder de mensen die het moeten uitvoeren. Een soevereine strategie vereist een parallelle strategie voor menselijk kapitaal.20

13. TCO en VOI Analyse: De Kosten en Baten van Soevereiniteit

Een eenzijdige focus op Total Cost of Ownership (TCO) is misleidend. De discussie moet verschuiven naar Value on Investment (VOI).

Kosten (TCO):

Baten (VOI)

Deel VI: Risico en besluitvorming

14. Het restrisico memorandum

15. Besluiten voor het bestuur

Geciteerd werk

DjimIT Nieuwsbrief

AI updates, praktijkcases en tool reviews — tweewekelijks, direct in uw inbox.

Gerelateerde artikelen

AI Governance

Europa’s digitale soevereiniteit

AI Governance

Verantwoorde Artificiële Intelligentie in de Publieke Sector.

AI Governance

Implementatie en governance van cloudgebaseerde AI-systemen.